Coinbase Commerce Nhắc Nhở Cách Diễn Đạt Hạt Giống, Gây Ra Những Mối Lo Ngại Về Bảo Mật

(MENAFN- Crypto Breaking) Các nhà nghiên cứu an ninh đang cảnh báo về một trang Coinbase Commerce xuất hiện yêu cầu người dùng nhập các cụm từ khôi phục ví. Sự việc này đã làm dấy lên lo ngại rằng một quy trình sử dụng seed phrase có thể trở thành hành vi bình thường, dễ bị khai thác trong các cuộc tấn công lừa đảo, đặc biệt khi liên quan đến một nền tảng đáng tin cậy.

Vấn đề bắt đầu khi Yu Xian, sáng lập công ty an ninh blockchain SlowMist và là nhân vật nổi bật trong giới an ninh, đã chú ý đến trang này trên X. Ông đặt câu hỏi tại sao một trang do Coinbase lưu trữ lại yêu cầu nhập seed phrase dạng plaintext để khôi phục tài sản, mô tả hành động này là một sơ suất bảo mật không thể chấp nhận được.

Coinbase chưa công khai giải thích nguồn gốc của trang này, ngoài việc cho biết đang xem xét vụ việc. Công ty nói với Cointelegraph rằng họ đang điều tra nhưng chưa cung cấp thêm thông tin tại thời điểm xuất bản. Yu Xian không phản hồi khi báo chí liên hệ, và Cointelegraph chưa nhận được bình luận nào từ ông kể từ lần liên hệ ban đầu.

Trong cộng đồng tiền mã hóa, seed phrase được xem như chìa khóa của ví tự quản lý. Người dùng chia sẻ chúng có nguy cơ giao quyền kiểm soát cho kẻ tấn công, vì seed phrase cho phép truy cập toàn bộ tài sản trong ví tương thích. Hướng dẫn rõ ràng là: không bao giờ tiết lộ seed phrase cho bên thứ ba, bộ phận hỗ trợ khách hàng hoặc các trang web không đáng tin cậy.

Coinbase đề cập đến tên miền phụ như một “công cụ rút tiền” trong thương mại

Các thành viên trong cộng đồng điều tra tiền mã hóa, bao gồm ZachXBT, nhấn mạnh rằng trang này được đề cập trong tài liệu trợ giúp công khai của Coinbase liên quan đến sản phẩm Commerce. ZachXBT lưu ý rằng hướng dẫn này dường như mô tả cách người dùng khôi phục quỹ bằng cách nhập seed phrase vào các ví tương thích như Coinbase Wallet hoặc MetaMask, chỉ ra một công cụ rút tiền được lưu trữ trên cùng tên miền phụ đã gây chú ý.

Thông tin này còn được củng cố bởi các tuyên bố trong tài liệu trợ giúp của Coinbase, mô tả ví tự quản lý — nghĩa là Coinbase không có quyền truy cập seed phrase và không thể khôi phục quỹ nếu bị mất. Tài liệu này đã gây ra nhiều câu hỏi về cách hướng dẫn như vậy phù hợp với trang yêu cầu nhập seed phrase mà người dùng đã thấy.

Dòng trạng thái này, được ZachXBT chia sẻ trên X, nhấn mạnh khả năng một cuộc tấn công lừa đảo có thể lợi dụng con đường chính thức để khôi phục seed phrase, nếu trang này là hợp lệ hoặc bị cấu hình sai. Sự việc này nằm ở điểm giao thoa giữa giáo dục người dùng, niềm tin vào nền tảng và sự phức tạp ngày càng tăng của quy trình tự quản lý.

Tại sao điều này quan trọng đối với người dùng và nhà phát triển

Seed phrase là trung tâm của an ninh tự quản lý ví. Một trang yêu cầu dễ dàng như vậy các thông tin này, dù trong bối cảnh có vẻ chính thức, đi ngược lại các thực hành tốt nhất được các nhà cung cấp ví và các nhà nghiên cứu an ninh khuyên bảo. Đối với người dùng, điều này làm tăng nguy cơ bị lừa đảo xã hội, khi kẻ tấn công kết hợp thương hiệu hợp pháp với các yêu cầu lừa đảo. Đối với các nhà phát triển và sàn giao dịch, sự kiện này nhấn mạnh một cân nhắc nhạy cảm: cung cấp các tính năng khôi phục và khả năng tương tác mà không làm lộ các điểm tấn công mới.

Ví tự quản lý cho phép người dùng kiểm soát trực tiếp các khóa riêng và seed phrase, nhưng đi kèm trách nhiệm. Nếu một cổng tin cậy vô tình hoặc cố ý yêu cầu dữ liệu mnemonic, người dùng có thể bị dụ dỗ cung cấp, đặc biệt trong thời điểm có rủi ro hoặc mất tài sản. Sự việc này thúc đẩy các cuộc tranh luận rộng hơn về cách thiết kế quy trình khôi phục vừa thân thiện với người dùng, vừa chống lại các hình thức lừa đảo.

Phản hồi của Coinbase và hướng đi tiếp theo

Coinbase đã thừa nhận vấn đề và cho biết đang điều tra, mặc dù chưa công khai chi tiết. Công ty trước đó đã khuyên người dùng không dán seed phrase vào bất kỳ trang web nào và nhấn mạnh rằng ví Commerce của họ là tự quản lý — nghĩa là Coinbase không thể truy cập seed phrase hoặc khôi phục quỹ nếu bị mất. Vụ việc hiện tại đặt ra câu hỏi liệu trang này có phải là tính năng chính thức, lỗi cấu hình hay một lỗ hổng bảo mật trong tài liệu liên quan đến Commerce.

Ngoài ra, Coinbase đã lên tiếng cảnh báo về các dấu hiệu lừa đảo và tấn công xã hội, nhấn mạnh rằng các kẻ lừa đảo có thể giả danh bộ phận hỗ trợ khách hàng qua điện thoại hoặc trực tuyến để lấy cắp thông tin đăng nhập và mã xác minh. Công ty khuyên người dùng chỉ liên hệ qua các kênh chính thức của X và Reddit để được hỗ trợ. Tình hình này còn nhiều điều chưa rõ:

• Trang này có phải là lỗi kỹ thuật, lỗi cấu hình của tên miền phụ, hay là một cố ý hướng dẫn người dùng khôi phục seed phrase?
• Hướng dẫn trong tài liệu trợ giúp phản ánh đúng quy trình sản phẩm hiện tại, hay đã bị chỉnh sửa hoặc gỡ bỏ sau khi bị phát hiện?
• Coinbase sẽ thực hiện những bước nào để ngăn chặn các yêu cầu tương tự trong tương lai, và có cập nhật nào cho tài liệu Commerce để làm rõ các thực hành tốt nhất về seed phrase không?

Bối cảnh từ lĩnh vực an ninh rộng hơn

Lừa đảo qua email và tấn công xã hội vẫn là những rủi ro phổ biến trong lĩnh vực crypto, khi kẻ tấn công liên tục điều chỉnh các mồi nhử dựa trên các thương hiệu và dịch vụ quen thuộc. Ví dụ, vụ OpenClaw cho thấy cách các kẻ tấn công pha trộn thông điệp về “token miễn phí” với giao diện giả mạo để dụ nạn nhân. Trong bối cảnh đó, bất kỳ tính năng nào của hệ sinh thái liên quan đến seed phrase — dù là trong quy trình khôi phục hay nhập khẩu qua nhiều ví — đều đòi hỏi các biện pháp bảo vệ nghiêm ngặt và giáo dục rõ ràng cho người dùng. Cointelegraph đã đề cập trước đó về việc các nhà nghiên cứu an ninh khuyên cảnh giác với việc tiết lộ seed phrase, nhấn mạnh tầm quan trọng của việc giữ dữ liệu khôi phục riêng tư và ngoại tuyến càng nhiều càng tốt.

Những điều người đọc nên theo dõi tiếp theo

Trong những ngày tới, tuần tới, sẽ rõ cách Coinbase giải quyết các câu hỏi về trang Commerce và các tham chiếu đến quy trình khôi phục. Chờ đợi:

• Các tuyên bố chính thức từ Coinbase về kết quả điều tra và các thay đổi trong tài liệu hoặc quy trình người dùng của Commerce.
• Các xác nhận xem yêu cầu dựa trên tên miền phụ có phải là hoạt động, thử nghiệm hay lỗi cấu hình liên quan đến hệ sinh thái trợ giúp rộng hơn không.
• Các hướng dẫn liên tục từ các nhà cung cấp ví và các nhà nghiên cứu an ninh về các thực hành an toàn khi khôi phục, đặc biệt đối với các ví tự quản lý liên kết với dịch vụ do sàn giao dịch hỗ trợ.

Khi ngành công nghiệp đánh giá sự việc này, nó nhấn mạnh một nguyên tắc cốt lõi cho người dùng và nhà phát triển: seed phrase vẫn là tài sản cực kỳ nhạy cảm, và ngay cả các giao diện có vẻ hợp pháp cũng cần được xem xét kỹ lưỡng. Con đường phía trước sẽ phụ thuộc vào các cơ chế khôi phục rõ ràng hơn, giữ được quyền kiểm soát của người dùng mà không tạo ra các cơ hội mới cho lừa đảo xã hội.

** Cảnh báo rủi ro & liên kết liên kết:** Tài sản crypto biến động và vốn có rủi ro. Bài viết này có thể chứa liên kết liên kết.